MuddyViper Bagdør
En nylig bølge af spionageaktivitet har rettet sig mod en bred vifte af israelske organisationer på tværs af akademia, ingeniørvidenskab, lokalforvaltning, produktion, teknologi, transport og forsyningsvirksomheder. Operationen, der tilskrives iranske statsallierede aktører, introducerede en hidtil ukendt bagdør kaldet MuddyViper, hvilket signalerede en ny eskalering i gruppens taktikker. En egyptisk-baseret teknologivirksomhed blev også fanget i sigtekornet, med kampagnen der løb fra slutningen af september 2024 til midten af marts 2025.
Indholdsfortegnelse
En velkendt modstander med voksende kapaciteter
Angrebene har været forbundet med MuddyWater, også kendt som Mango Sandstorm, Static Kitten eller TA450, en gruppe, der vurderes at operere under Irans efterretnings- og sikkerhedsministerium. MuddyWater, der har været aktiv siden mindst 2017, har en lang historik med spionage og destruktive handlinger, herunder tidligere POWERSTATS-kampagner og brugen af PowGoop ransomware under Operation Quicksand.
Ifølge offentliggjorte resultater fortsætter gruppen med at angribe israelske mål, der spænder over lokale myndigheder, lufttransport, turisme, sundhedsydelser, telekommunikationsnetværk, IT-udbydere og SMV'er.
Deres udviklende håndbog: Fra social manipulation til udnyttelse af VPN-svagheder
Trusselsaktøren benytter sig typisk af spear-phishing-e-mails og misbrug af kendte VPN-sårbarheder for at få adgang. Historisk set involverede disse indtrængen implementering af legitime fjernadministrationsværktøjer – et kendetegn ved MuddyWaters aktiviteter. Siden maj 2024 er deres phishing-e-mails dog begyndt at levere en skjult bagdør kendt som BugSleep (også kaldet MuddyRot), hvilket viser et skift mod mere tilpassede værktøjer.
Gruppens bredere arsenal er omfattende og inkluderer Blackout, AnchorRat, CannonRat, Neshta og Sad C2-frameworket, som hjælper med at udbrede loadere som TreasureBox og BlackPearl RAT.
Phishing er fortsat det første skridt
Den seneste angrebsbølge starter stadig med ondsindede e-mails, der indeholder PDF-vedhæftninger. Disse PDF-filer peger ofrene mod downloads til udbredte fjernværktøjer som Atera, Level, PDQ og SimpleHelp. Når angriberne har fået fodfæste, går de i gang med at implementere mere specialiserede komponenter.
Introduktion til Fooder og MuddyViper
Denne kampagne har en fremtrædende rolle i en loader ved navn Fooder, der er bygget til at dekryptere og udføre den C/C++-baserede MuddyViper-bagdør. Varianter af Fooder er også set distribuere tunnelværktøjerne go-socks5 og open source-værktøjet HackBrowserData til at indsamle browserdata fra adskillige platforme (med undtagelse af Safari).
MuddyViper giver i sig selv omfattende kontrol, der gør det muligt for operatører at indsamle systemoplysninger, køre filer og kommandoer, flytte data ind og ud og stjæle Windows-legitimationsoplysninger og browseroplysninger. Det understøtter 20 indbyggede kommandoer til at opretholde skjult adgang. Nogle Fooder-varianter forklæder sig som det klassiske Snake-spil og er afhængige af forsinket udførelse for at undgå detektion, en teknik der først blev bemærket i september 2025.
Yderligere værktøjer observeret i driften
Forskere dokumenterede også implementeringen af adskillige understøttende værktøjer designet til persistens, tyveri af legitimationsoplysninger og dataindsamling:
VAXOne – En bagdør, der udgiver sig for at være Veeam, AnyDesk, Xerox eller OneDrive-opdateringsprogrammet.
CE-Notes – Et værktøj til tyveri af browserdata, der er designet til at omgå Chromes app-bundne kryptering ved at stjæle den lokale tilstandskrypteringsnøgle.
Blub – AC/C++-stjæler, der indsamler logindata fra Chrome, Edge, Firefox og Opera.
LP-Notes – AC/C++-værktøj til indsamling af legitimationsoplysninger, der viser en falsk Windows-sikkerhedsprompt for at narre brugere til at indtaste deres loginoplysninger.
Samarbejde med Lyceum: En operationel overlapning opstår
Undersøgelsen afslørede, at MuddyWaters aktivitet havde en sammenhæng med Lyceum (også kendt som Hexane, Spirlin eller Siamesekitten), en undergruppe af OilRig (APT34), der har været aktiv inden for regional cyberspionage siden mindst 2018.
Under hændelser identificeret i starten af 2025 fungerede MuddyWater sandsynligvis som en indledende adgangsmægler i en israelsk produktionsorganisation ved at implementere fjernskrivebordsværktøjer og en tilpasset Mimikatz-loader. De stjålne legitimationsoplysninger blev derefter sandsynligvis udnyttet af Lyceum til at udvide adgangen og overtage operationel kontrol.
Et tegn på stigende operationel modenhed
Introduktionen af nye komponenter, især Fooder-loaderen og MuddyViper-bagdøren, fremhæver en bemærkelsesværdig fremgang i MuddyWaters tekniske og operationelle sofistikering. Gruppen investerer tydeligvis i mere diskrete persistensmekanismer, mere effektiv tyveri af legitimationsoplysninger og dybere rekognosceringskapaciteter.
Kampagnen understreger en fortsat og voksende trussel fra cyberoperatører med tilknytning til Iran. Deres blanding af brugerdefineret malware, skjulte indlæsere, legitime fjernadministrationsværktøjer og tværfagligt samarbejde antyder, at organisationer i regionen skal forblive på øget alarmberedskab og styrke forsvaret mod stadig mere komplekse indtrængningsstrategier.
